Le logiciel basé sur le Web connu sous le nom de système de diagnostic des rapports d’urgence sur la santé animale, ou USAHERDS, sert d’outil numérique utile aux gouvernements des États pour suivre et retracer les maladies animales dans les populations de bétail. Aujourd’hui, il s’est avéré être une sorte de vecteur d’infection à part entière, entre les mains de l’un des groupes de pirates informatiques les plus prolifiques de Chine.
Mardi, la société de réponse aux incidents de cybersécurité Mandiant a révélé une campagne de piratage de longue date qui a violé au moins six gouvernements d’États américains au cours de l’année écoulée. Mandiant dit que la campagne, qui, selon lui, a été l’œuvre du célèbre groupe de cyberespionnage chinois APT41 – également connu sous le nom de Barium, ou faisant partie du plus grand groupe de hackers chinois Winnti – a utilisé une vulnérabilité dans USAHERDS pour pénétrer au moins deux de ces cibles. Il en a peut-être touché beaucoup plus, étant donné que 18 États utilisent USAHERDS sur des serveurs Web, et n’importe lequel de ces serveurs aurait pu être réquisitionné par les pirates.
APT41 a acquis la réputation d’être l’un des groupes de piratage les plus agressifs de Chine. Le ministère américain de la Justice a inculpé cinq de ses membres par contumace en 2020 et les a accusés d’avoir piraté des centaines de systèmes de victimes à travers l’Asie et l’Occident, à la fois pour l’espionnage parrainé par l’État et à des fins lucratives. L’objectif du groupe dans cette dernière série d’intrusions, ou les données qu’ils ont pu rechercher, reste un mystère. Mais l’analyste de Mandiant, Rufus Brown, dit que cela montre néanmoins à quel point APT41 reste actif, et à quel point il a été inventif et minutieux dans la recherche de tout pied qui pourrait leur permettre d’atteindre un autre ensemble de cibles, même un obscur outil de gestion du bétail que la plupart des Américains n’ont jamais entendu. de.
« C’est très énervant de voir ce groupe partout», explique Brown. « APT41 s’attaque à toute application Web externe pouvant leur donner accès à un réseau. Juste un ciblage très persistant, très continu.
À la fin de l’année dernière, Mandiant a averti le développeur d’USAHERDS, une société basée en Pennsylvanie appelée Acclaim Systems, d’un bogue piratable de haute gravité dans l’application. L’application crypte et signe les données envoyées entre les PC et le serveur qui l’exécute à l’aide de clés censées être uniques à chaque installation. Au lieu de cela, les clés étaient codées en dur dans l’application, ce qui signifie qu’elles étaient les mêmes pour tous les serveurs exécutant USAHERDS. Cela signifiait que tout pirate informatique qui apprenait les valeurs de clé codées en dur – comme Mandiant pense qu’APT41 l’avait fait lors de sa reconnaissance du réseau d’une autre victime antérieure – pouvait manipuler les données envoyées par le PC d’un utilisateur au serveur pour exploiter un autre bogue dans son code, permettant au hacker d’exécuter son propre code sur le serveur à volonté. Mandiant dit qu’Acclaim Systems a depuis corrigé la vulnérabilité USAHERDS. (WIRED a contacté Acclaim Systems mais n’a pas reçu de réponse.)
USAHERDS n’est pas la seule application Web qu’APT41 semble avoir piratée pour accéder aux systèmes de ses victimes. Sur la base d’une série de cas de réponse à des incidents au cours de l’année écoulée, Mandiant estime que le groupe chinois cible depuis au moins mai 2021 les gouvernements des États américains en exploitant des applications Web qui utilisent un cadre de développement appelé ASP.NET. Au début, le groupe semble avoir utilisé une vulnérabilité dans deux de ces applications Web, que Mandiant a refusé de nommer, pour pirater deux gouvernements d’États américains. Chacune de ces applications était utilisée uniquement par l’une des deux agences d’État, explique Mandiant.
Mais le mois suivant, et jusqu’à la fin de 2021, Mandiant a vu les pirates informatiques cibler USAHERDS comme un autre moyen d’entrée. APT41 a d’abord piraté USAHERDS pour entrer dans l’un des deux gouvernements d’État qu’il avait déjà ciblés, puis pour en violer un troisième. Mandiant n’a pas confirmé que la même vulnérabilité a été utilisée pour pirater d’autres victimes. À partir de décembre, Mandiant a découvert qu’APT41 avait commencé à exploiter la vulnérabilité largement médiatisée de Log4j, le framework de journalisation Apache couramment utilisé, en l’utilisant pour violer au moins deux autres gouvernements d’États américains.